PCI DSS 支付卡行业数据安全标准入门指南
本文当 地图 用:不能替代 PCI SSC 正式文档,也不能当 QSA / 律师意见。你的 CDE 范围、商户级别、该填哪份 SAQ,以 收单机构与卡品牌规则 为准。
什么是 PCI DSS?
PCI DSS(Payment Card Industry Data Security Standard)是 Visa、Mastercard、American Express、Discover、JCB 通过 PCI SSC 维护的一套 基线:谁碰持卡人数据、谁就要按条落实控制。合规 降低被罚、被停机的概率,不等于「绝对不会泄露」。
PCI DSS 的发展历史
从各家各标准收到 PCI SSC 一条线;记版本是为读老审计报告时 对得上号。
合规排期提醒(v4 全面生效)
PCI DSS v4.x 中部分条目曾分阶段过渡。2026 年 3 月 31 日起,v4 相关要求的全面生效与评估口径是业内常见排期节点(具体以你签约收单机构、卡品牌与 PCI SSC 最新文档为准)。规划迁移与测评前请直接查阅 PCI Security Standards Council 发布的正式版本与 FAQ,勿仅依赖本文时间线。
版本演进关键变化
| 版本 | 发布时间 | 主要变化 |
|---|---|---|
| 1.0 | 2004 | 首次统一标准,12项核心要求 |
| 2.0 | 2010 | 强化虚拟化安全,明确范围界定 |
| 3.0 | 2013 | 增加恶意软件防护,强调持续合规 |
| 3.2 | 2016 | 新增多因素认证要求,强化 SSL/TLS 迁移 |
| 4.0 | 2022 | 全面更新,增加定制化方法,强化认证要求 |
PCI DSS 4.0 核心要求
6 个目标、12 条要求 是骨架,下面还有 几百条测试程序;图表当 导航,勾选项以 官方 PDF 为准。
数据存储规则
可接受的数据存储:
┌─────────────────────────────────────────────┐
│ PAN(主账号):可存储,但需加密或标记化 │
│ 持卡人姓名:可存储 │
│ 有效期:可存储 │
├─────────────────────────────────────────────┤
│ 禁止存储: │
│ ✗ 完整磁道数据 │
│ ✗ CVV/CVC/CID(3-4位安全码) │
│ ✗ PIN/PIN 块 │
└─────────────────────────────────────────────┘MFA 多因素认证
PCI DSS 合规级别
级别数字、交易量门槛 因 卡品牌 而异,且会调整;下图是 常见 Visa 商户口径 的示意,以你收单行下发的规则为准。
SAQ 类型说明
| SAQ 类型 | 适用场景 | 评估要求 |
|---|---|---|
| SAQ A | 完全外包支付(第三方托管) | 22 项要求 |
| SAQ A-EP | 电子商务,部分外包 | 77 项要求 |
| SAQ B | 仅使用终端(无电子存储) | 39 项要求 |
| SAQ C | 有网络连接的支付终端 | 63 项要求 |
| SAQ D | 所有其他商户/服务提供商 | 全部要求 |
PCI DSS 合规流程
典型 闭环:定范围 → 找差距 → 改 → 测 → 交 SAQ / ROC;中间 季度扫、年度复评 别断。
常见违规与处罚
下表 罚款区间 是业内常引用的 数量级示意,不是 对你案子的承诺;真出事以 卡品牌、合同、监管 为准。
违规后果
| 违规类型 | 可能后果 |
|---|---|
| 数据泄露 | 每张卡 $50-$90 罚款,品牌处罚 $5,000-$100,000/月 |
| 未能合规 | 交易处理权限受限,罚款增加 |
| 虚假报告 | 永久禁止处理支付卡交易 |
常见违规项
- 存储禁止数据:存储 CVV、完整磁道数据
- 弱加密:使用已废弃的 SSL/TLS 版本
- 默认密码:未更改系统默认凭据
- 缺乏日志:未记录或未保护审计日志
- 范围界定不清:未正确识别 CDE 边界
PCI DSS 4.0 新特性
相对 3.2.1,4.x 更强调 可测、可证、持续,并给 定制化方法 留口子——但 文档和证据 要求更重。
主要变化
新增关键要求
| 新要求 | 描述 |
|---|---|
| 5.2.3 | 自动化机制检测和阻止恶意软件 |
| 8.3.6 | MFA 扩展到所有 CDE 访问 |
| 8.6.3 | 密码至少 12 位(或 8 位 + MFA) |
| 11.6.1 | 变更检测机制 |
| 12.6.2 | 安全意识培训每年至少一次 |
推荐阅读
官方与权威资源
| 来源 | 文章 | 说明 |
|---|---|---|
| PCI SSC | PCI DSS v4.0 标准文档 | 官方标准文档,最权威 |
| PCI SSC | PCI DSS v4.0 Summary of Changes | 4.0 版本变更摘要 |
| Microsoft | PCI DSS 合规指南 | Azure 合规性详解 |
| AWS | AWS PCI DSS 合规 | AWS 云环境合规指南 |
| NIST | SP 800-57 密钥管理建议 | 密钥管理最佳实践 |
技术深度文章
| 来源 | 文章 | 重点内容 |
|---|---|---|
| Stripe | Stripe PCI 合规指南 | 支付集成合规实践 |
| Cloudflare | 什么是 PCI DSS 合规 | 基础概念入门 |
| Datadog | PCI DSS 监控指南 | 监控与日志最佳实践 |
| F5 | PCI DSS v4.0 要求应对 | WAF 与安全控制 |
| Okta | PCI DSS 身份认证要求 | MFA 与访问控制 |
中文技术资源
| 来源 | 文章 | 说明 |
|---|---|---|
| 百度云 | PCI DSS 认证全解析 | 认证流程与企业价值 |
| 腾讯云 | PCI DSS 云上合规 | 云环境合规实践 |
| 阿里云 | PCI DSS 合规白皮书 | 阿里云合规方案 |
| 华为云 | 支付卡行业安全合规 | 云安全解决方案 |
书籍推荐
| 书名 | 作者 | 说明 |
|---|---|---|
| PCI DSS: A Pocket Guide | Steve Wright | 入门指南,简洁易懂 |
| PCI Compliance | Branden R. Williams | 合规流程与实务,篇幅较厚 |
| Information Security Management Principles | David Alexander | 信息安全管理基础 |
| Security Engineering | Ross Anderson | 安全工程权威著作 |
视频课程
| 平台 | 课程 | 说明 |
|---|---|---|
| Coursera | PCI DSS Fundamentals | 基础课程 |
| Udemy | PCI DSS 4.0 Complete Guide | 4.0 完整指南 |
| YouTube | PCI SSC Official Channel | 官方视频资源 |
| B站 | PCI DSS 合规入门 | 中文入门视频 |
安全社区与论坛
| 社区 | 链接 | 说明 |
|---|---|---|
| PCI SSC Community | community.pcisecuritystandards.org | 官方社区 |
| OWASP | owasp.org | Web 安全资源 |
| Reddit r/security | reddit.com/r/security | 安全讨论社区 |
| Stack Exchange Security | security.stackexchange.com | 安全问答 |
官方资源
- PCI Security Standards Council
- PCI DSS Documents
- PCI SAQ
- OWASP Cheat Sheet Series
- NIST Cybersecurity Framework
总结
PCI DSS 是 卡数据环境 的 最低基线:少存、少传、加密、分段、日志、人管得住。级别和 SAQ 问收单行,条文 盯 SSC 原文。
- 能别存就别存 PAN;禁存项 一条都别碰。
- CDE 划清;外面的人 默认进不来。
- 日志留着、有人看;出事 能追溯。
- 按年 / 按季 该做的扫描、问卷 别拖。
合规是 常年运维,不是 测评前两周突击。
相关文章:PCI DSS 技术实现指南